2012年人类从世界末日的谣言中惶惑而过,在这不平凡的一年里,互联网向人们展示了在各行各业里的巨大影响力。通过互联网人们可以随时移动办公、轻松网络购物,但在这便捷的背后是越来越多的网络安全威胁。首当其冲的当属企业用户,他们需要适应办公生态圈里爆发的移动终端,还要迎战各种应用安全威胁以及数据泄露等。2012年是网络安全领域值得纪念的一年,也是值得企业用户惊醒的一年,因为从此企业网络安全的概念已经跨入了新的时代。
BYOD——促使网络安全进入新时代
截至2012年6月底,中国手机网民规模首次超越台式电脑用户,达到3.88亿。2012年上半年与2011年下半年相比,手机上网用户占网民比例由69.3%提升至72.2%。整个行业已经注意到,消费者采购移动设备的速度比采用任何其他技术的速度都快。
顺理成章的,自带设备办公BYOD(Bring Your Own Device)从一个概念进入了人们的实际工作。能够使用随身的iPad和智能手机办公,对员工而言无疑是一件非常便捷的事情。BYOD对企业来说,可以大幅降低设备的购置、升级和维护投入。但是,这看似双赢的一个事情,却埋藏着巨大的隐患。
随着BYOD(Bring your own devices)现象的日趋风行,以消费者为主导的BYOD迅速在企业公司普及。进而公司的网络和数据的安全威胁主要来着于员工。IT管理员面对BYOD,不可麻痹大意。BYOD意味着,IT部门应该比以往任何时候都更加提高警觉,以确保他们的公司的安全策略是最新的,同时还要处理企业网络之外的数以百计的移动设备。
实施BYOD之后,安全和数据流失是CIO们比较关心的问题。毕竟,BYOD之后企业对设备的可控度降低了。而过去,企业的信息安全是建立在设备可控的基础上,也就是企业有哪些IT设备,其上运行的是什么系统和应用,都在IT部门的掌握之中,同时,企业的管理方式和流程都建立在这个前提之上,而如今这个前提不再有,为此企业的管理和流程也都需要进行调整。
安全设备、安全数据、网络保护三管齐下的办法,可以有效防止BYOD的安全威胁。专家表示,在移动设备上,有些设备本身就比其他设备更具有安全性。基于此的考虑,有些公司甚至出台政策,只允许员工携带特有品牌的移动设备接入企业网络。
比如说一些公司只允许iPhone和iPad接入网络,而Android操作系统的设备不允许接入。为什么Android操作系统的设备不允许接入呢?因为Android是开放式开发平台,这样的手机更容易受到攻击。
除此之外,企业还利用网络管理做到安全把关,以确保员工遵守办公规则。举例来说,有些公司允许员工使用自己的移动设备,但是必须在设备上安装MDM安全策略。如果员工的手机丢失或者被盗,企业IT主管可以发送指令,远程锁定设备或者远程擦除移动设备上的信息。
不过MDM安全策略和擦除设备是不够的,有专家表示,即使这样,移动设备仍有可能受到威胁,比如说通过访问Web访问电子邮件的内容。因为MDM产品可以提供设备的控制,但它并不能防止钓鱼攻击,恶意软件,恶意的应用程序或数据被窃取。IT管理人员应该安装一个设备管理解决方案相结合的数据丢失,动态网页威胁,移动恶意软件,恶意移动应用程序来做实时保护。
这时候,我们传统的网络安全提供商就迎来了跨时代的挑战。他们需要在整个组织内实施统一的安全策略、为各种用户提供优化的经管体验,支持多种设备并符合安全和业务要求。需要确保用户对资源的安全访问,并提供针对任何移动设备的高性能网络连接。
下一代防火墙NGFW
自Gartner在2009年提出了下一代防火墙概念以来,众多国内外网络安全厂商都陆续推出了下一代防火墙产品。另据Gartner的研究报告显示,在2014年,60%的新购防火墙都将是下一代防火墙。可以看出,无论是企业用户还是厂商,都在顺应IT趋势的变革,也都看到了其中的机遇。
2012年,NGFW(Next generation firewall)即下一代防火墙已经成为业界的热点声音。云计算、WEB2.0及移动互联网等一系列新应用技术被广泛使用,Gartner于2009年定义NGFW时的认知已经明显不足。众网络安全厂商和相关机构,纷纷为此下“定义”,但至今争执不下,足见此概念的热度。
我们暂且这样陈述,下一代防火墙并不是简单的功能堆砌和性能叠加,下一代防火墙以全局的视角,从解决用户网络面临的实际问题出发来定义才更为妥当。下一代防火墙并不是凭空而出的产品,也不会是防火墙的终极形态。下一代防火墙需要安全厂商不断的关注IT环境和客户需求的变化、持续专注的技术积累及创新,而厚积薄发的产品成果。
业界的主流观点认为,下一代防火墙应该实实在在实现以下六大功能:
基于用户防护
传统防火墙策略都是依赖IP或MAC地址来区分数据流,不利于管理也很难完成对网络状况的清晰掌握和精确控制。下一代防火墙则具备用户身份管理系统,实现了分级、分组、权限、继承关系等功能,充分考虑到各种应用环境下不同的用户需求。此外还集成了安全准入控制功能,支持多种认证协议与认证方式,实现了基于用户的安全防护策略部署与可视化管控。
面向应用安全
在应用安全方面,下一代防火墙应该包括“智能流检测”和“虚拟化远程接入”两点。一方面可以做到对各种应用的深层次的识别;另外在解决数据安全性问题方面,通过将虚拟化技术与远程接入技术相结合,为远程接入终端提供虚拟应用发布与虚拟桌面功能,使其本地无需执行任何应用系统客户端程序的情况下完成与内网服务器端的数据交互,就可以实现了终端到业务系统的“无痕访问”,进而达到终端与业务分离的目的。
高效转发平台
为了突破传统网关设备的性能瓶颈,下一代防火墙可以通过整机的并行多级硬件架构设计,将NSE(网络服务引擎)与SE(安全引擎)独立部署。网络服务引擎完成底层路由/交换转发,并对整机各模块进行管理与状态监控;而安全引擎负责将数据流进行网络层安全处理与应用层安全处理。通过部署多安全引擎与多网络服务引擎的方式来实现整机流量的分布式并行处理与故障切换功能。
多层级冗余架构
下一代防火墙设备自身要有一套完善的业务连续性保障方案。针对这一需求,必须采用多层级冗余化设计。在设计中,通过板卡冗余、模块冗余以及链路冗余来构建底层物理级冗余;使用双操作系统来提供系统级冗余;而采用多机冗余及负载均衡进行设备部署实现了方案级冗余。由物理级、系统级与方案级共同构成了多层级的冗余化架构体系。
全方位可视化
下一代防火墙还要注意“眼球经济”,必须提供丰富的展示方式,从应用和用户视角多层面的将网络应用的状态展现出来,包括对历史的精确还原和对各种数据的智能统计分析,使管理者清晰的认知网络运行状态。实施可视化所要达到的效果是,对于管理范围内任意一台主机的网络应用情况及安全事件信息可以进行准确的定位与实时跟踪;对于全网产生的海量安全事件信息,通过深入的数据挖掘能够形成安全趋势分析,以及各类图形化的统计分析报告。
安全技术融合
动态云防护和全网威胁联防是技术融合的典范。下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。一方面可以通过“云”来收集安全威胁信息并快速寻找解决方案,及时更新攻击防护规则库并以动态的方式实时部署到各用户设备中,保证用户的安全防护策略得到及时、准确的动态更新;另一方面,通过 “云”,使得策略管理体系的安全策略漂移机制能够实现物理网络基于“人”、虚拟计算环境基于“VM”(虚拟机)的安全策略动态部署。
Web应用防护系统WAF
当前网络环境中,应用已成为网络的主要载体,而网络安全的威胁更多的来源于应用层,这也使得用户对于网络访问控制提出更高的要求。如何精确的识别出用户和应用、阻断有安全隐患的应用、保证合法应用正常使用、防止端口盗用等问题,已成为现阶段用户对网络安全关注的焦点。
Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)应运而生。利用国际上公认的一种说法,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
WAF还具有多面性的特点。比如从网络入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看,WAF是一种防火墙的功能模块。还有人把WAF看作“深度检测防火墙”的增强。(深度检测防火墙通常工作在的网络的第三层以及更高的层次,而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。)
Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。
修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。现在WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。
基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。
WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。
WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为,从而减小Web服务器被攻击的可能性。
云安全服务——分享和共享
云安全服务的出现,彻底颠覆了传统安全产业基于软硬件提供安全服务的模式,降低了企业部署安全产品的成本,使更多的企业可以享受到安全服务。然而,云安全服务目前仍主要面向于中小企业,对于大型企业来说考虑使用云安全服务的还是很少。而云安全服务还有一个问题是关于隐私的问题,这也是很多企业在选择云安全服务时最大的顾虑。
“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。
由安全服务器、数千万安全用户就可以组成虚拟的网络,简称为“云”。病毒针对“云”的攻击,都会被服务器截获、记录并反击。被病毒感染的节点可以在最短时间内,获取服务器的解决措施,查杀病毒恢复正常。这样的“云”,理论上的安全程度是可以无限改善的。
“云”最强大的地方,就是抛开了单纯的“客户端”防护的概念。传统客户端被感染,杀毒完毕之后就完了,没有进一步的信息跟踪和分享。而“云”的所有节点,是与服务器共享信息的。你中毒了,服务器就会记录,在帮助你处理的同时,也把信息分享给其它用户,他们就不会被重复感染。
于是这个“云”笼罩下的用户越多,“云”记录和分享的安全信息也就越多,整体的用户也就越强大。这才是网络的真谛,也是所谓“云安全”的精华之所在。要想建立“云安全”系统,并使之正常运行,需要海量的客户端(云安全探针)。只有拥有海量的客户端,才能对互联网上出现的病毒、木马、挂马网站有最灵敏的感知能力。
有了海量的客户端的支持,还需要专业的反病毒技术和经验,同时还要加上大量的资金和技术投入,而且这个云系统必须是开放的系统,可以同其他大量的相关合作伙伴共享探针。这样的开放性系统,其“探针”与所有软件完全兼容,即使用户使用其他网络安全产品,也可以共享这些“探针”,才能给整个网络带来最大的安全。
数据泄密(泄露)防护(Data leakage prevention, DLP)
数据泄密(泄露)防护(Data leakage prevention, DLP),又称为“数据丢失防护”(Data Loss prevention, DLP),有时也称为“信息泄漏防护”(Information leakage prevention, ILP)。数据泄密防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。
随着信息技术的飞速发展,计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径。但是,信息系统在提高人们工作效率的同时,也对信息的存储、访问控制及信息系统中的计算机终端及服务器的访问控制提出了安全需求。
目前对内外安全的解决方案,还停留在防火墙、入侵检测、网络防病毒等被动防护手段上。在过去的一年中,全球98.2%的计算机用户使用杀毒软件,90.7%设有防火墙,75.1%使用反间谍程序软件,但却有83.7%的用户遭遇过至少一次病毒、蠕虫或者木马的攻击,79.5%遭遇过至少一次间谍程序攻击事件。
据国家计算机信息安全测评中心数据显示,由于内部重要机密数据通过网络泄露而造成经济损失的单位中,重要资料被黑客窃取和被内部员工泄露的比例为1:99。也就是说重要资料的泄露只有1%是被黑客窃取造成的,而99%都是由于内部员工有意或者无意之间泄露而造成的。
DLP数据泄漏防护系统的原理,是通过身份认证和加密控制以及使用日志的统计对内部文件经行控制。数据泄漏防护技术(DLP)日渐成为目前市场上最为重要的安全技术之一。企业青睐数据泄漏防护技术,来保护所有权数据和满足法规遵从。
根据所部署的位置的不同,数据泄漏防御方案可以分成基于网络的数据泄漏防御方案(NDLP)和基于主机的数据泄漏防御方案(HDLP)。大部分数据泄漏防御方案是基于网络类型,少部分是基于主机类型。
基于网络的数据泄漏防御方案通常部署内部网络和外部网络连接的出口处,所针对的对象是进出单位内部网络的所有数据。基于主机的数据泄漏防御方案则部署在存放敏感数据的主机上,当其发现被保护主机上的数据被违规转移出主机时,HDLP会采取拦截或警报等行为。
DLP是一套完整的体系,也是多种系统的集成,用以解决不同类型的用户的不同需求。国外DLP方案多数是基于网络的,这主要是因为国外用户的网络环境和信息化水平与国内大不相同。这种基于网络的DLP比较符合国外用户的需求。而中国国内的信息化现状来看,比较适合采用基于主机的DLP解决方案。
高持续性威胁(APT)
高持续性威胁(APT)是以商业和政治为目的的一个网络犯罪类别。APT需要长期经营与策划,并具备高度的隐蔽性,才可能取得成功。这种攻击方式往往不会追求短期的经济收益和单纯的系统破坏,而是专注于步步为营的系统入侵,每一步都要达到一个目标,而不会做其他多余的事来打草惊蛇。
APT旨在突破企业防御系统的高明攻击,今年,出现了许多针对公司和政府的高级攻击(例如Gauss和Flame)。这些攻击被称为高级持续性威胁(APT)。他们高度复杂并经过仔细构建。APT攻击背后的意图是获得网络访问权限并偷偷地窃取信息。高级持续性威胁(APT)采取low-and-slow的方式,常常难以被发现,成功率很高。
APT入侵客户的途径多种多样,主要包括以下几个方面。其一是以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。另外,社交工程的恶意邮件是许多APT攻击成功的关键因素之一。
随着社交工程攻击手法的日益成熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。
总之,高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。“潜伏性和持续性”是APT攻击最大的威胁。
高级持续性威胁(APT)的潜伏性,主要表现在这些新型的攻击和威胁可能在用户环境中存在一年以上或更久,他们不断收集各种信息,直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物,所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。
APT的持续性则表现在,该类攻击具有持续性甚至长达数年的特征,这让企业的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏。
高级持续性威胁(APT)基本上都会锁定明确目标,针对特定政府或企业,长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件,如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。
在成功侵入目标系统以后,高级持续性威胁(APT)一般都会安装远程控制工具。攻击者建立一个类似僵尸网络Botnet的远程控制架构,攻击者会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据,利用加密的方式外传。
虽然APT的恶意软件可以一直潜伏在主机里面,然而其远程控制等相关网络活动则相对容易被发现。所以,APT攻击的有效防范就是在网络层进行控制和中断。也有不少人认为,数据盗窃者绝不可能完全不被看到。在输出数据中查找异常现象可能是管理员发现网络成为APT目标的最好方式。
编辑点评:
2012年是不平凡的一年,尤其对IT行业来说。智能手机普及、平板设备大量涌现、Win8发布等等,都给我们明确的启示——移动时代来了!终端的多样化是这个时代的特征,企业、个人信息大量暴露在互联网上是这个时代的巨大的隐患。如何有力的解决这个问题,不但要依靠强有力的网络安全技术产品,还要我们的用户有足够的安全意识和知识,在一定程度上更要依靠强力的法律作为保障,比如我们最新的个人信息保护法。